Exchange und Antivirus-Software

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 328841 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
328841 Exchange and antivirus software
Wichtig: Dieser Artikel enthält Informationen darüber, wie Sie Sicherheitseinstellungen herabsetzen oder Sicherheitsfunktionen auf einem Computer deaktivieren. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Wir raten Ihnen jedoch, zunächst die Risiken dieser Umgehungslösung für Ihre Umgebung abzuschätzen, bevor Sie die genannten Änderungen vornehmen. Falls Sie diese Abhilfe einsetzen, sollten Sie entsprechende Maßnahmen treffen, um Ihr System zu schützen.
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel bietet einen Überblick über die verschiedenen Antivirusprogramme, die normalerweise für Exchange 2000 Server verwendet werden. Der Artikel informiert über Vorteile, Nachteile und Aspekte, die bei der Problembehandlung mit den verschiedenen Arten von Scannern zu beachten sind. Dieser Artikel beschreibt keine SMTP-Filterlösungen, die in der Regel auf einem vom Exchange 2000 Server-Computer getrennten Netzwerkserver installiert werden.

Dateiscanner

Dateiscanner werden häufig verwendet, sind jedoch möglicherweise am problematischsten für den Gebrauch mit Exchange 2000 Server. Dateiscanner können "speicherresident" sein oder "bei Bedarf" (On-Demand) bereitgestellt werden:
  • "Speicherresident" bedeutet, dass ein Teil der Antivirus-Software auf Dateiebene permanent im Speicher geladen ist. Dieser überprüft alle Dateien, die auf der Festplatte und im Arbeitsspeicher benutzt werden.
  • "Bei Bedarf" bedeutet, dass ein Teil der Antivirus-Software auf Dateiebene für das Scannen von Dateien auf der Festplatte, entweder manuell oder in regelmäßigen Abständen, konfiguriert werden kann. Beachten Sie, dass manche Antivirusprogramme das Scannen bei Bedarf nach der Aktualisierung von Virussignaturen automatisch starten, um sicherzustellen, dass alle Dateien mit den neuesten Signaturen gescannt werden.
Folgende Probleme können auftreten, wenn Sie Dateiscanner mit Exchange 2000 Server verwenden:
  • Dateiscanner scannen eine Datei in regelmäßigen Abständen oder während sie benutzt wird, und können ein Exchange-Protokoll oder eine Datenbankdatei sperren oder unter Quarantäne stellen, während Exchange versucht, diese Datei zu benutzen. Dies kann in Exchange 2000 Server zu einem schweren Fehler führen und außerdem "-1018"-Fehler generieren.
  • Es können weitere Probleme auftreten, wenn Sie Laufwerk "M" mit einem Dateiscanner überprüfen.

    Nachfolgend sehen Sie ein Beispiel für ein Ereignis, das protokolliert werden kann, wenn das Laufwerk "M" von einem Dateiscanner überprüft wird:

    Ereignis-ID: 6 Quelle: Norton Antivirus Die Beschreibung der Ereigniskennung (6) in (Norton AntiVirus) wurde nicht gefunden.
    
    Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien.  
    
    Beim Scan konnte die Datei M:\ORG_NAME.COM\MBX\Benutzername\Posteingang\Kein Betreff-15.EML nicht geöffnet werden.

  • Dateiscanner bieten keinen Schutz vor E-Mail-Viren wie den "Melissa"-Virus.

    Hinweis: Der "Melissa"-Virus ist ein Microsoft Word-Makrovirus, der durch E-Mail-Nachrichten übertragen wird. Der Virus sendet unerwünschte E-Mail-Nachrichten an Adressen, die er in persönlichen Adressbüchern von Microsoft Outlook-E-Mail-Clients findet. Diese Art von Viren kann Daten zerstören.
Schließen Sie folgende Ordner vom Scanvorgang aus, sowohl bei On-Demand- als auch bei speicherresidenten Dateiscannern:
  • Das Laufwerk "M" von Exchange 2000 Server.
  • Exchange-Datenbanken und -Protokolldateien. Standardmäßig befinden sich diese im Ordner "Exchsrvr\Mdbdata".
  • Exchange MTA-Dateien im Ordner "Exchsrvr\Mtadata".
  • Zusätzliche Protokolldateien wie "Exchsrvr\Servername.log".
  • Den Ordner des virtuellen Servers "Exchsrvr\Mailroot".
  • Den Arbeitsordner zum Speichern von temporären Streamingdateien, die zur Nachrichtenkonvertierung verwendet werden. Standardmäßig heißt dieser Ordner "\Exchsrvr\MDBData", der Speicherort kann jedoch konfiguriert werden.
  • Den temporären Ordner, der gemeinsam mit Offline-Wartungsprogrammen wie z. B. "Eseutil.exe" benutzt wird. Standardmäßig ist dies der Ordner, von dem aus die EXE-Datei ausgeführt wird, der Ausführungsort kann jedoch beim Ausführen des Programms konfiguriert werden.
  • Dateien des Standortreplikationsdienstes im Ordner "Exchsrvr\Srsdata".
  • Microsoft IIS-Systemdateien (IIS = Internet Information Services) im Ordner "%SystemRoot%\System32\Inetsrv".

    Hinweis: Die Ordner "Exchsrvr\address", "Exchsrvr\bin", "Exchsrvr\Exchweb", "Exchsrvr\Res", und "Exchsrvr\Schema" können normalerweise bedenkenlos gescannt werden. Sie sollten jedoch eventuell den gesamten Ordner "Exchsrvr" ausschließen, sowohl bei On-Demand- als auch bei speicherresidenten Dateiscannern. Microsoft empfiehlt dringend, während der Durchführung von Betriebssystem- und Exchange-Aktualisierungen dateibasierte Antivirensoftware vorübergehend zu deaktivieren; zu solchen Aktualisierungen zählen Upgrades auf neue Exchange- oder Betriebssystemversionen sowie die Anwendung von Updates oder Service Packs auf Exchange oder das Betriebssystem.
Weitere Informationen zum Arbeitsordner finden Sie im folgenden Artikel der Microsoft Knowledge Base:
822936 Nachrichtenfluss an der lokalen Übermittlungswarteschlange ist sehr langsam
Schließen Sie folgende Dateitypen vom Scanvorgang aus, sowohl bei On-Demand- als auch bei speicherresidenten Dateiscannern:
  • .edb
  • .stm (unter Exchange 2000 Server)
  • .log
Schließen Sie den Ordner, der die Checkpoint-Dateien (.chk) enthält, von speicherresidenten und von On-Demand-Scannern aus.

Hinweis: Auch wenn Sie die Exchange-Datenbanken und -Protokolldateien an einen anderen Speicherort verschieben und diese Ordner ausschließen, kann die CHK-Datei möglicherweise gescannt werden. Weitere Informationen zu dem Verhalten, das beim Scannen der CHK-Datei auftreten kann, finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
253111 Wenn dem Exchange Server-Datenbank-Dienst Schreibedb-chk-zugriff zu Ihren eigenen Dateien oder der Datei verweigert wird, werden Fehlerereignisse protokolliert
176239 XADM: Datenbank wird nicht zirkulär starten, gelöschte Protokolldatei zu früh zu protokollieren

MAPI-Scanner

Die erste Generation von Virenscannern mit einem Exchange-Agent basiert auf MAPI. Diese Scanner führen für jedes Postfach eine MAPI-Anmeldung durch und durchsuchen es dann nach bekannten Viren.

Der MAPI-Scanner hat folgende Vorteile gegenüber dem Dateiscanner:
  • Der MAPI-Scanner kann nach E-Mail-Viren wie z. B. dem "Melissa"-Virus suchen.
  • Der MAPI-Scanner steht nicht im Konflikt mit dem Exchange-Protokoll oder den Datenbankdateien.
Der MAPI-Scanner hat folgende Nachteile:
  • Der MAPI-Scanner überprüft eine infizierte E-Mail-Nachricht möglicherweise erst, wenn sie vom Benutzer geöffnet wird. Der MAPI-Scanner hindert einen Benutzer nicht am Öffnen einer infizierten E-Mail-Nachricht, wenn der Scanner diese Nachricht nicht zuvor als infiziert erkennt.
  • Der MAPI-Scanner kann keine ausgehenden Nachrichten überprüfen.
  • Der MAPI-Scanner erkennt den SIS-Filter (SIS = Single Instance Storage) von Exchange nicht und scannt daher möglicherweise eine Nachricht mehrmals, wenn sie in mehreren Postfächern vorhanden ist. Daher braucht der MAPI-Scanner mehr Zeit für den Scanvorgang.
Der MAPI-Scanner ist eine bessere Lösung als ein Dateiscanner, da er E-Mail-Viren erkennen kann. Es gibt jedoch noch bessere Möglichkeiten, die weiter unten in diesem Artikel erörtert werden.

VAPI-, AVAPI- oder VSAPI-Scanner

Die Antivirus-API (AVAPI) wird auch als Virus API (VAPI) oder Virus Scanning API (VSAPI) bezeichnet.

VAPI 1.0 wurde in Exchange Server 5.5 Service Pack 3 (SP3) eingeführt und bis Exchange 2000 Server verwendet. Seither wurden viele Verbesserungen an VAPI 1.0 vorgenommen, um die Leistung unter Exchange Server 5.5 zu verbessern. Weitere Informationen zu diesem Thema finden Sie im folgenden Artikel der Microsoft Knowledge Base:
248838 XADM: Updates für Informationsspeicher von Exchange Server 5.5 verfügbar, die nach SP3 veröffentlicht wurden
Mit Exchange Server 2000 Service Pack 1 (SP1) wurde VAPI 2.0 eingeführt. VAPI 2.0 wird in Exchange 5.5 nicht unterstützt. Sowohl VAPI 1.0 als auch VAPI 2.0 unterstützen On-Demand-Scanner.

Wenn Sie einen VAPI-Scanner benutzen und ein Client versucht, eine Nachricht zu öffnen, wird ein Vergleich durchgeführt, um sicherzustellen, dass der Textkörper und der Anhang von der aktuellen Virensignaturdatei überprüft wurden. Wenn der Inhalt nicht anhand der aktuellen Fremdanbieter- oder Signaturdatei überprüft wurde, wird die entsprechende Nachrichtenkomponente vor der Freigabe an den Client an die Antivirus-Software des Fremdanbieters übermittelt. Der Client kann einen konventionellen MAPI-Client oder einen IP-basierten Client verwenden, wie z. B. Post Office Protocol 3 (POP3), Microsoft Outlook Web Access (OWA) und Internet Message Access Protocol 4 (IMAP4).

Bei VAPI 2.0 werden alle Daten aus Nachrichtentext und -anlagen in einer einzigen Warteschlange verarbeitet. Elemente, die als "On-Demand"-Elemente an diese Warteschlange übermittelt werden, werden mit hoher Priorität eingereiht. Diese Warteschlange wird nun von einer Reihe von Threads verarbeitet, wobei Elemente mit hoher Priorität immer zuerst behandelt werden. Die Anzahl von Threads ist standardmäßig 2 x Anzahl_Prozessoren +1. Dies ermöglicht die gleichzeitige Übermittlung mehrerer Elemente an die Fremdanbietersoftware. Außerdem sind Clientthreads nicht länger an Zeitlimit-Werte gebunden, die auf die Freigabe von Elementen warten. Nachdem ein Element überprüft und als sicher markiert wurde, wird der Clientthread benachrichtigt, dass das Element verfügbar ist. Der Clientthread wartet standardmäßig bis zu drei Minuten auf die Benachrichtigung über die Verfügbarkeit der angeforderten Daten, bevor das Zeitlimit erreicht ist.

Ein neues Feature in VAPI 2.0 ist das proaktive Scannen von Nachrichten. In VAPI 1.0 wurden Daten in Nachrichtenanlagen nur gescannt, wenn sie verwendet wurden. Bei VAPI 2.0 werden Elemente, die im Informationsspeicher ankommen, an eine gemeinsame Informationsspeicher-Warteschlange übermittelt. Jedes dieser Elemente erhält eine niedrige Priorität in der Warteschlange, damit die Überprüfung dieser Elemente nicht mit der Überprüfung der Elemente mit hoher Priorität kollidiert. Wenn alle Elemente mit hoher Priorität überprüft worden sind, beginnt VAPI 2.0 mit der Überprüfung der Elemente mit niedriger Priorität. Die Priorität der Elemente wird dynamisch auf hohe Priorität aktualisiert, wenn ein Client versucht, auf ein Element in der Warteschlange mit niedriger Priorität zuzugreifen. In der Warteschlange mit niedriger Priorität können sich maximal 30 Elemente befinden. Die Reihenfolge der Elemente basiert auf dem FIFO-Prinzip (First-in-First-out).

Die dritte Verbesserung im Bereich der Virusprüfung stellt die Hintergrundüberprüfung dar. Bei VAPI 1.0 besteht die Hintergrundüberprüfung aus einem einzelnen Durchlauf durch die Anlagentabelle, woraufhin Anlagen, die nicht anhand der aktuellen Fremdanbieter- oder Signaturdatei überprüft wurden, direkt an die DLL der Antivirus-Software übermittelt werden. Jeder der privaten und öffentlichen Informationsspeicher erhält einen Thread für die Durchführung dieser Hintergrundüberprüfung, und nachdem der Thread den Durchlauf durch die Anlagentabelle abgeschlossen hat, wartet er auf einen Neustart des Informationsspeicher-Prozesses, bevor ein zweiter Durchlauf erfolgt. Bei VAPI 2.0 erhält jede Messaging-Datenbank (MDB) auch weiterhin einen Thread für die Durchführung der Hintergrundüberprüfung. Die Hintergrundüberprüfung navigiert jedoch nun durch alle Ordner, die im Postfach des Benutzers enthalten sind. Werden Elemente gefunden, die nicht überprüft wurden, werden diese an die Fremdanbietersoftware übermittelt, und der Überprüfungsprozess wird fortgesetzt. Fremdanbieter von Antivirus-Software könnten auch mithilfe verschiedener Registrierungsschlüssel eine Hintergrundüberprüfung veranlassen.

Die am häufigsten geforderte Funktionserweiterung gegenüber VAPI 1.0 betrifft die Möglichkeit, Nachrichtendetails abzurufen, um Exchange-Administratoren die Möglichkeit zu geben, die Existenz von Viren nachzuverfolgen und zu ermitteln, wie die Viren in das System eingedrungen und welche Benutzer betroffen sind. Diese Funktion wurde in VAPI 2.0 hinzugefügt, weil die Überprüfung nicht länger direkt auf der Anlagentabelle basiert.

Zur Verbesserung der Problembehandlung für VAPI verwendet Exchange 2000 Server SP1 neue VAPI-Leistungsindikatoren, mit deren Hilfe Exchange-Administratoren die Leistung der Antivirus-API überwachen können. Anhand dieser Leistungsindikatoren können die Administratoren bestimmen, wie viele Informationen überprüft werden und mit welcher Geschwindigkeit die Überprüfung erfolgt. So kann der Administrator die Server genauer skalieren.

Bei der letzten neuen Funktion handelt es sich um die speziell an die VAPI angepasste Ereignisprotokollierung. Unter anderem werden die folgenden neuen Ereignisse protokolliert:
  • Laden und Entladen von Fremdanbieter-DLLs.
  • Erfolgreiche Überprüfung von Elementen.
  • Im Informationsspeicher gefundene Viren.
  • Unerwartetes Verhalten der VAPI.
Suchen Sie folgenden Registrierungsschlüssel, um zu ermitteln, ob Sie einen VAPI-Scanner verwenden:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
Dieser Registrierungsschlüssel ist nicht vorhanden, wenn kein VAPI-Scanner installiert ist.

Nachfolgend sehen Sie ein Beispiel für ein Ereignis, das protokolliert werden könnte, wenn das VSAPI-Programm die Dateien über den Pfad "//./backofficestorage/" scannt.

Ereignis-ID: 2045  Quelle: McAfee GroupShield Die Beschreibung der Ereigniskennung (2045) in (McAfee GroupShield) wurde nicht gefunden.

Der lokale Computer verfügt nicht über die zum Anzeigen der 
Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. 

Der On-Demand-Scanner konnte während seines 4-Stunden Zyklusses das Element 'file://./backofficestorage/domain.com/mbx/Soverholt/Kalender/Jan-24 Email_Betreff.EML' mit Fehler 80040e19 nicht öffnen.

Weitere Informationen zu Problemen, die beim Scannen von Laufwerk "M" auftreten können, finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
299046 XADM: Kalenderelemente verschwinden aus Benutzerordnern
300608 XADM: möglicherweise werden "C1041737" Fehler und eine Meldung von Ereignisid 470 angezeigt, wenn Sie Mount Databases versuchen
307824 Sie können die Exchange-Benachrichtigungskomponente auf Laufwerk M: von einem Exchange 2000 Server nicht installieren
298924 Durch eine Sicherung bzw. Überprüfung des Laufwerks "M" von Exchange 2000 verursachte Probleme

ESE-Scanner

ESE-Scanner (wie z. B. bestimmte Versionen von Antigen) nutzen eine Schnittstelle zwischen dem Informationsspeicher und der ESE (Extensible Storage Engine), die von Microsoft unterstützt wird. Wenn Sie diese Art von Software verwenden und Fehler bei der Software-Implementierung auftreten, besteht das Risiko einer Beschädigung von Datenbanken und eines Datenverlusts.

Während der Installation verändert der ESE-Scanner den Exchange Server-Informationsspeicherdienst so, dass er vom Dienst des Fremdanbieters abhängig ist. Dadurch wird sichergestellt, dass der Fremdanbieterdienst vor dem Exchange Server-Informationsspeicherdienst gestartet wird. Während des Startvorgangs sucht der Scanner-Dienst nach entsprechenden Versionen seiner und der Exchange Server-Software sowie nach entsprechenden Dateiversionen. Wenn eine Inkompatibilität gefunden wird, deaktiviert sich die Antigen-Software selbst, ermöglicht den Start des Exchange-Informationsspeicherdienstes ohne Virenschutz und benachrichtigt dann die Administratoren.


Wenn der ESE-Scanner erfolgreich gestartet wird, wird die Microsoft-Version der Datei "Ese.dll" vorübergehend in "Xese.dll" umbenannt und durch die Antigen-Version der Datei "Ese.dll" ersetzt. Nachdem die Antigen-Version der Datei "Ese.dll" geladen wurde, wird die Microsoft-Version wieder in "Ese.dll" umbenannt, und der Exchange-Informationsspeicherdienst kann den Startvorgang abschließen.

Kunden, die mit Microsoft Product Support Services Kontakt aufnehmen, werden möglicherweise aufgefordert, den Antigen-Dienst zu deaktivieren, um die Fehlersuche zu erleichtern, aber die Software kann jederzeit wieder aktiviert werden, nachdem die Ursache des Problems gefunden wurde.

Zusätzliche Lektüre

Weitere Informationen zu Antivirus-Software, die mit Exchange Server verwendet werden kann, finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
285667 XADM: Informationen zur Virus Scanning API 2.0 in Exchange 2000 Server SP1
298924 Durch eine Sicherung bzw. Überprüfung des Laufwerks "M" von Exchange 2000 verursachte Probleme
245822 Empfehlungen für die Problembehandlung bei einem Exchange-Computer mit installierter Antivirensoftware
253111 Wenn dem Exchange Server-Datenbank-Dienst Schreibedb-chk-zugriff zu Ihren eigenen Dateien oder der Datei verweigert wird, werden Fehlerereignisse protokolliert
176239 XADM: Datenbank wird nicht zirkulär starten, gelöschte Protokolldatei zu früh zu protokollieren
Aktuelle Informationen zu Virus- und Sicherheitswarnungen sowie zu Anbietern von Antivirus-Software finden Sie in den folgenden Ressourcen:

Microsoft

http://www.microsoft.com/germany/

ICSA

ICSA, ein Unternehmen der GartnerGroup, bietet Sicherungsdienste für das Internet.
http://www.icsa.net

CERT Coordination Center

Das CERT Coordination Center ist Teil der Survivable Systems Initiative am Software Engineering Institute, einem vom US-Verteidigungsministerium geförderten Forschungs- und Entwicklungszentrum der Carnegie Mellon University.
http://www.cert.org

Computer Incident Advisory Capability

Computer Incident Advisory Capability bietet technische Unterstützung und Informationen auf Abruf für Standorte des US-Energieministeriums, bei denen sich sicherheitsrelevante Vorfälle der Computersysteme ereignen.
http://www.ciac.org

Network Associates

http://www.mcafee.com/de/

Trend Micro

http://de.trendmicro-europe.com/

Computer Associates

http://www3.ca.com/securityadvisor/virusinfo/default.aspx

Norton AntiVirus (Symantec)

http://www.norton.com/region/de/
Die Kontaktinformationen bezüglich der in diesem Artikel erwähnten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.
Die in diesem Artikel genannten Fremdanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Eigenschaften

Artikel-ID: 328841 - Geändert am: Montag, 19. März 2007 - Version: 12.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Exchange 2000 Server Standard Edition
Keywords: 
kb3rdparty kbenv kbinfo KB328841
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com